AGI - Non c’è mai la certezza che dopo il primo pagamento i criminali cederanno la chiave crittografica per sbloccare dati o sistemi in ostaggio, i dati liberati dopo un attacco possono risultare corrotti, il modus operandi dei banditi è che una volta attaccata la vittima e aver ottenuto un riscatto, continuerà a farlo, per molte volte. Le varie gang potrebbero poi passarsi le informazioni sulle vittime affinché possano essere attaccate di nuovo da altri gruppi, ancora e ancora.
Questi, secondo Yoroi, società del Gruppo Tinexta che si occupa di sicurezza informatica, alcune delle ragioni per cui le vittime di ransomware non dovrebbero mai pagare il riscatto. Inoltre, ha rilevato la compagnia italiana, Kisa, agenzia per la cybersecurity della Corea del Sud ha rilasciato il decryptor per Hive Ransomware, un gruppo che ha attaccato anche aziende italiane come Ferrovie dello Stato, portando al blocco delle biglietterie. Avere a disposizione il decryptor potrebbe salvaguardare numerose organizzazioni che a causa di attacco ransomware hanno visto rallentare la produzione o, in alcuni casi, arrivare al suo blocco totale.
Secondo vari studi circa l’80% delle organizzazioni e società che hanno pagato il riscatto dopo l’attacco, secondo Yoroi, sono state colpite dal ransomware una seconda volta. “Il nostro consiglio – ha spiegato Marco Ramilli, ad di Yoroi - è di essere preparati a un attacco ransomware e a non pagare in nessun caso il riscatto. Se è stato fatto un adeguato backup, l’azienda o l’ente colpito, possono riavviare le normale attività, mentre l’autorità giudiziaria provvederà a fare il suo lavoro”
Un ransomware è un codice che si installa nel computer nel momento in cui viene scaricato un file infetto. Crea una “gabbia” di codice intorno ai contenuti di un computer, impedendo ai proprietari di accedervi. Per aprirla serve una chiave. E per avere quella chiave viene chiesto di pagare un riscatto, in bitcoin, non tracciabile. Ransom in inglese vuol dire “riscatto”. Il ransomware è sempre più utilizzato dai cybercriminali e continua a diffondersi con un aumento del costo del riscatto e una riduzione dei tempi di attesa per i pagamenti, sfruttando il timore delle vittime degli attacchi di subire un danno reputazionale, ma anche le multe seguenti all’annuncio dei databreach in area europea dove vige la GDPR.
Nell’ultimo mese ci sono stati 167 incidenti a livello globale e 31 solo nell’ultima settimana. Due giorni fa la gang criminale Cuba ha fatto sapere di aver colpito un’ azienda italiana del settore IT con un importante fatturato, ma in Italia sono molte le aziende che negli ultimi mesi sono state bersagliate da attacchi ransomware di successo in diversi settori: agroalimentare, bancario, energetico e delle telecomunicazioni.
Anche una grande amministrazione regionale come quella sarda è caduta vittima di un gruppo ransomware. La Regione Sardegna ha fatto sapere che non pagherà alcun riscatto. I software di tipo ransomware, ha spiegato la società di cybersecurity, sono diventati più efficienti e riescono a cifrare i sistemi bersaglio con grande efficienza e velocità. “Ad esempio il gruppo Lockbit che opera il ransomware Lockbit 2.0 sta lavorando a un’evoluzione del suo software, Lockbit 3.0. Lockbit ha fatto circa 900 vittime. A un altro ransomware, gestito dal famigerato gruppo filorusso Conti, sono state attribuite quasi 850 vittime”.